PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN
7. Tìm Hiểu Về Hệ Thống Firewall
7.5 Các kiểu tấn công
7.5.2 Giả mạo danh tính
Các hệ thống mạng sử dụng IP address để nhận biết sự tồn tại của mình. Vì thế địa chỉ IP là sự quan tâm hàng đầu của những hacker. Khi họ hack vào bất cứ hệ thống nào, họ đều biết địa chỉ IP của hệ thống mạng đó. Thơng thường, những người tấn công giả mạo IP address để xâm nhập và cấu hình lại
Việc tạo ra một kiểu tấn công mới là mục đích của các hacker. Trên mạng Internet hiện nay, có thể sẽ xuất hiện những kiểu tấn công mới được khai sinh từ những hacker thích mày mị và sáng tạo.
Man in the middle là một hình thức tấn cơng giả mạo danh tính. Kiểu tấn cơng có thể xuyên thủng một kết nối bảo mật VPN (Virtual Private Network) giữa một máy trạm và trạm kết nối.Bằng cách chèn một trạm kết nối giả lập giữa máy trạm và trạm kết nối, hacker trở thành “Man in the middle” và hắn ta sẽ giả lập thành trạm kết nối đối với máy trạm và thành máy trạm đối với trạm kết nối.
Hacker sẽ buộc máy trạm đăng nhập lại vào trạm kết nối - nạn nhân sẽ phải đáp ứng và đăng nhập lại lên Access Point và ngược lại Access Point phải
đáp ứng kết nối thành công và dĩ nhiên thông qua hacker.
Để bắt đầu một cuộc tấn công, hacker âm thầm thu thập các thông tin
quan trọng của máy trạm khi kết nối đến Access Point như username, servername, địa chỉ IP của client và server, ID dùng để kết nối, các phương thức phê chuẩn…
Sau đó hacker này sẽ kết nối với Access Point bằng cách gởi yêu cầu kết
nối với thông tin trên và hiển nhiên thông tin yêu cầu này là của máy trạm hợp lệ. Access Point sẽ yêu cầu kết nối VPN đến máy trạm, khi máy trạm nhận
được yêu cầu sẽ gởi thông tin để tạo kết nối. Hacker sẽ lắng nghe những thông
tin này từ hai phía để thu thập thông tin đáp ứng. Sau khi “lắng nghe” tất cả quy trình kết nối thì hacker bắt đầu hành động. Họ sẽ gởi tín hiểu giả mạo với
gói lượng dữ liệu lớn tăng dần và đá văng kết nối của máy trạm hợp lệ ra khỏi
hệ thống và tiếp tục gởi để ngăn máy trạm không thể kết nối (vd: 0x00ffffff). Lúc này hắn đàng hoàng đi vào hệ thống như một máy trạm hợp lệ.
Với kiểu tấn công này chỉ có cách giám sát hệ thống bằng cách thiết lập IDS sẽ phát hiện và ngăn chặn kiểu tấn cơng này.
Một số hình thức tấn cơng của “Man in the middle”: tấn công giả mạo ARP Cache, DNS Spoofing, chiếm quyền điều khiển Session (session hijacking).v.v..
Tấn công giả mạo ARP Cache
ARP thường được sử dụng để xác định địa chỉ MAC khi mà đã biết địa chỉ IP.
Sự chuyển đổi này được thực hiện thông qua việc tìm kiếm trong một bảng địa chỉ,
ARP cache sẽ giữ nhiệm vụ cập nhật bảng địa chỉ này bằng cách gửi broadcast các gói dữ liệu yêu cầu chứa các địa chỉ IP đến các Client, nếu như IP của Client nào trùng với IP nhận được thì sẽ phản hồi lại với gói dữ liệu chứa MAC Address của mình. Những thành phần trong bảng này sẽ hết hạng trong một khoảng thời gian nhất định vì Client có thể thay đổi phần cứng (NIC) thì khi đó bảng này sẽ được cập nhật lại. Tuy nhiên một nhược điểm của ARP là khơng có bất kỳ sự kiểm tra nào từ những phản hồi của các Client hợp lệ hoặc là nhận phản hồi từ những Client giả mạo.
ARP Poisoning là một trong những công nghệ mà cho phép tấn công theo kiểu “Man in the middle”. Hacker sẽ vào giữa Client và Router, bằng cách “nhiễm” vào Client, cho nên IP của Router được kết nối với MAC Address của hacker, ngược lại bằng cách “nhiễm” vào Router cho nên IP của Client sẽ kết nối với MAC Address của hacker, nghĩa là cuối cùng mọi giao tiếp giữa Client và Router đều phải thông qua hacker.
Hình 17. Giả mạo ARP Cache